martes, enero 09, 2007

Zone-h hacked

El amigo Anelkaos, que solo piensa en dos cosas, Seguridad y … tal, me mandó un mail para avisarme de esto. Habían hackeado a Zone-h!. Aquí no se salva ni el tato Honorato.

La explicación completa del ataque está aquí, en esta URL, y además es muy interesante porque lo explican día a día.

Os lo resumo en cuatro lines: Lo primero que hizo el hacker fue mangar una sesión Hotmail de la cuenta de un contributor mediante un exploit de Cross-Site Scripting para Hotmail
usando para ello un mail de petición de reset de contraseña. Este exploit permite mangar la cookie de una sesión abierta en hotmail y hacer un hijacking. Acceso a cuenta conseguido.

Nota para los amigos de mangar passwords de hotmail: Cuidadin.

Gracias a conseguir esta cuenta de Hotmail consiguió el acceso a Joomla, que es el gestor de contenidos que usa Zone-h. No tenía permisos para publicar en el sitio, pero usando un exploit de un componente de Joomla consiguió subir una Shell PHP. Luego con esa shell se subio otra más chula, se hizo un directorio, se cambio los permisos del apache y….


Según ellos el ataque tuvo éxito por:

"
1) Having a staff member who was not wise enough to recognize a Hotmail XSS attack.

2) Not finding the uploaded, but useless at that time, php shell. Zone-H contains 80 gigs of files, but this no excuse.

3) Not acknowledging in time the JCE component advisory (and we all make our living by reading tons of advisories every day...)
"


Bies!

5 comentarios:

  1. Si es que la seguridad de las cuentas de correo está infravalorada. Podrás tener todo tu dinero en el banco mas seguro del mundo, pero...¿de que te sirve si tengo acceso a tu correo mediante el cual renuevas tus claves? ^__^

    ResponderEliminar
  2. No entiendo como robo la cuenta de hotmail robando las coockies ... hago click en el enlace y esta tumbado y no puedo buscar informacion. Alguien me dice como consiguio las coockies ?? Se refiere a un ataque estilo MitM ??

    ResponderEliminar
  3. Fue un hijacking con un XSS ya parcheado. }:))

    ResponderEliminar
  4. Ayer también fue hackeada.

    ResponderEliminar